WEB-INF/web.xml泄露

最新推荐文章于 2024-07-25 19:54:22 发布
最新推荐文章于 2024-07-25 19:54:22 发布
阅读量1.5k 收藏 1
点赞数 2
分类专栏: web 文章标签: xml java web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_60715541/article/details/127699552
版权

🍀 作者:我是一个茶壶
📌 每日一诗:
  巴山楚水凄凉地,二十三年弃置身。
  怀旧空吟闻笛赋,到乡翻似烂柯人。
  沉舟侧畔千帆过,病树前头万木春。
  今日听君歌一曲,暂凭杯酒长精神。
🎨 ps:今天谈谈WEB-INF/web.xml泄露

 WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。
WEB-INF主要包含一下文件或目录:


/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。

/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中

/WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件

/WEB-INF/src/:源码目录,按照包名结构放置各个java文件。

/WEB-INF/database.properties:数据库配置文件

漏洞成因:

 通常一些web应用我们会使用多个web服务器搭配使用,解决其中的一个web服务器的性能缺陷以及做均衡负载的优点和完成一些分层结构的安全策略等。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。

漏洞检测以及利用方法:

 通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码。

 一般情况,jsp引擎默认都是禁止访问WEB-INF目录的,Nginx 配合Tomcat做均衡负载或集群等情况时,问题原因其实很简单,Nginx不会去考虑配置其他类型引擎(Nginx不是jsp引擎)导致的安全问题而引入到自身的安全规范中来(这样耦合性太高了),修改Nginx配置文件禁止访问WEB-INF目录就好了: location ~ ^/WEB-INF/* { deny all; } 或者return 404; 或者其他!

对应题目
BUUCTF [RoarCTF 2019]Easy Java
在这里插入图片描述
 打开靶机进入链接,是这个,尝试登录失败。下面有个help的跳转链接,打开看看
在这里插入图片描述
 抓包修,更改POST的传参方式。
在这里插入图片描述
访问/WEB-INF/web.xml,发现flag相关字段。不过这个是个class类。
在这里插入图片描述

访问/WEB-INF/classes/com/wm/ctf/FlagController.class发现里面有一个base64密码,解码得到flag

flag{d0fe275b-f935-4b0d-9186-b12e006e3404}

本文为作者原创,转载请标明出处

iamteapot
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
【漏洞挖掘】——62、WEB-INF/web.xml 泄露
Fly_鹏程万里
10-20 1456
WEB-INF/web.xml信息泄露是一种常见的安全问题,通常发生在Web应用程序未被正确配置或管理的情况下,攻击者可以通过暴力破解或者其他手段访问WEB-INF目录下的web.xml文件从而获得Web应用程序的配置信息,例如:安全配置、数据库连接信息、API密钥等。
WEB-INF/web.xml泄露总结
热门推荐
王嘟嘟的博客
04-08 1万+
0x00 前言 WEB-INF/web.xml泄露漏洞的一些总结。 参考文章:http://www.anquan.us/static/drops/papers-60.html 0x01 基础知识 https://blog.csdn.net/qq_36869808/article/details/89084412 1.补充知识 Tomcat的WEB-INF目录,每个j2eeweb应用部署文件默认包...
常见的Web源码泄漏漏洞
huangyongkang666的博客
03-23 4054
常见的Web源码泄漏漏洞 1.Git 源码泄露 ​ 开发人员会使用 git 进行版本控制,对站点自动部署。但如果配置不当,可能会将 .git 文件夹直接部署到线上环境,这就引起了 git 泄露漏洞,我们可以利用这个漏洞直接获得网页源码 简要介绍git的目录结构 在一个目录中初始化一个仓库以后 , 会在这个目录下产生一个名叫 .git 的隐藏文件夹(版本库)这个文件夹里面保存了这个仓库的所有版本等一系列信息 一般来说 , 一个git仓库还存在这两个文件 : README.md (项目介绍) .gitign
2024年网络安全最全常见Web源码泄露总结_发现 web 应用程序源代码泄露模式(1)
2401_84240129的博客
05-03 1013
漏洞成因:在发布代码时未删除文件夹中隐藏的.DS_store,被发现后,获取了敏感的文件名等信息。注意路径检查。
BUUCTF-WEB-INF/web.xml泄露-SSTI注入
m0_64180167的博客
04-17 704
其实和sql注入一样 sql注入是通过构造字符串 让我们要比对的字符串变为执行的命令ssti也是一样的 只不过 ssti是在框架中执行 语言框架对html的渲染 因为对字符串不够严格 就容易变为命令执行是用户和页面交互的函数 页面可以通过用户的操作来展示页面。
目录穿越读取WEB-INF/web.xml后续fuzz,jdbc字典
qq_82303224_的博客
02-25 139
能读取WEB-INF/web.xml的时候想要读取更多信息的时候,可以尝试以下路径组合代码中的路径进行fuzz测试。
WEB-INF/web.xml泄露漏洞及其利用
Mrs_H的博客
08-10 1万+
前言 之所以写这篇文章,是因为最近在做题的时候,做到了一个有关java的题目。因为对Java Web方面的开发经验很少,所以在做这道题的时候,查了一些关于Java Web相关的知识。感觉以后说不定还会用到,就以这篇文章来总结一下。 关于WEB-INF/web.xml 在了解WEB-INF/web.xml泄露之前,我们先要知道,web.xml是一个什么样的文件,以及它的泄露会出现哪些问题。 咱们先来看看WEB-INF这个文件夹 WEB-INF主要包含以下内容: /WEB-INF/web.xmlWeb应用程
easy java (java WEB-INF/web.xml泄露)
aetlypdlg_ys的博客
03-29 289
WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库驱动jar文件 /WEB-INF/src/:源码目录,按照包名结构放置各个java文件。在使用这种架构的时候,由于对静态资源的目录或文件的映射配置不当,可能会引发一些的安全问题,导致web.xml等文件能够被读取。
让CAS支持客户端自定义登陆页面----服务器篇--.doc
06-29
为了让CAS支持客户端自定义登录页面,首先需要在`/WEB-INF/web.xml`文件中为CAS增加一个`/remoteLogin`的URL映射。这个映射用于识别来自客户端的自定义登录页面请求。 ```xml <servlet-mapping> <servlet-name>cas...
java-servlet-连接mysql-数据库.docx
05-09
除了服务器配置,Web应用自身的配置文件`WEB-INF/web.xml`也需要更新。这里,你需要定义一个Servlet或Filter来处理数据库连接。通常,你会声明一个Servlet,然后在`<servlet-class>`标签中指定你的实现类,同时在`...
apache-tomcat-9.0.20 (1).zip
06-14
2. 或者创建一个 `META-INF/context.xml` 文件,定义应用的特定配置,然后将该文件和应用的其他文件一起放在 `webapps` 的自定义目录下。 **性能优化** 1. 调整JVM参数,例如增加堆大小 `-Xms` 和 `-Xmx`,或者调整...
Mysoo站内搜索 v1.0 Peview-mysoo-1.0-preview.war.zip
07-28
解压此WAR文件后,我们可以看到项目的目录结构,包括WEB-INF目录(包含web.xml配置文件)、classes目录(包含编译后的Java类)、lib目录(包含依赖的JAR库)等。这些内容揭示了Mysoo站内搜索的工作原理,包括其后端...
使用JavaFx Fxml实现账号密码登录
BMG-Princess
07-25 415
stage.setTitle("DR295C数据采集传输仪");
【图像标签转换】XML转为TXT图像数据集标签
阿齐Archie
07-25 1228
该脚本用于将 XML 文件中的对象标注转换为 YOLO 格式的 TXT 文件,并生成一个包含所有类别的 classes.txt 文件。通过这些步骤,可以方便地将标注数据用于 YOLO 模型的训练。
XML 和 SimpleXML 入门教程
wjs2024的博客
07-24 413
XML 是一种用于存储和传输数据的标记语言,而 SimpleXML 是 PHP 中的一个扩展,用于解析和操作 XML 数据。通过本文的介绍,您应该已经了解了 XML 和 SimpleXML 的基本概念,并掌握了如何在 PHP 中使用 SimpleXML 解析和操作 XML 数据。
解析capl文件生成XML Test Module对应的xml工具
最新发布
m0_56315547的博客
07-25 486
解析CANoe的CAPL中.can/.cain文件,生成XML Test Module中使用的xml
ros2--launch--xml定义
m0_60274660的博客
07-24 313
ros2没有这个type属性。
Python:使用sitemap库生成网站地图文件sitemap.xml
彭世瑜的博客
07-23 488
可以使用sitemap库生成网站地图文件sitemap.xml文档安装。
WEB-INF/classes/logging.properties
07-27
WEB-INF/classes/logging.properties 是一个 Java Web 应用程序中的配置文件,用于配置日志记录的行为。它通常位于 Web 应用程序的类路径下的 WEB-INF 目录中,用于指定日志记录器的级别、输出目标和格式等。 该文件通常使用属性键值对的形式来配置日志记录器。其中一些常见的配置项包括: - `handlers`:指定日志消息的输出目标,可以是控制台、文件、数据库等。 - `level`:指定日志记录器的级别,如 INFO、DEBUG、ERROR 等。 - `com.example.app.level`:指定特定包或类的日志级别。 - `com.example.app.handler`:指定特定包或类的日志消息输出目标。 - `java.util.logging.ConsoleHandler.level`:指定控制台日志消息的级别。 - `java.util.logging.FileHandler.pattern`:指定文件日志消息的输出格式。 通过编辑 logging.properties 文件,可以根据应用程序的需求来调整日志记录的行为,以便更好地进行故障排除和性能分析。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值